Sähköpostin suojauskäytännöt. Sähköposti ja sen käyttökäytäntö. Sähköpostiviestin muotoilun vaatimukset

Ajastettujen sähköpostiviestien toimituksen viivästyminen; - Täysin toimivan sähköpostiarkiston ylläpito. Riisi. 18.14 - Postijärjestelmän turvaongelmien ratkaiseminen Näiden vaatimusten noudattaminen varmistetaan käyttämällä turvatoimissa tiettyjä mekanismeja. Tällaisia ​​mekanismeja voivat olla: 1. Rekursiivinen hajottaminen (erityinen algoritmi, jota käytetään jäsentämään sähköpostiviestit niiden komponenttikomponenteiksi ja sitten analysoimaan niiden sisältö); 2. Tekstin koodausten heuristinen määritys; 3. Tiedostotyypin määrittäminen allekirjoituksella; 4. Kokotekstihaku sähköpostiarkistoista jne. 18.4.3 Sähköpostikäytäntö Turvatoimenpide, sähköpostin sisällönhallintajärjestelmä, ei sinänsä ratkaise turvallisuusongelmia. Tämä on vain "kone", joka auttaa henkilöä ratkaisemaan tietyn ongelman. Siksi turvallisuuden varmistamisen tehtävä on annettava tällaiselle "koneelle". Tämä tarkoittaa, että on kehitettävä erityiset säännöt, jotka käännetään myöhemmin konekielelle. Tätä sääntöjoukkoa kutsutaan "sähköpostikäytännöksi". Monissa organisaatioissa tällaiset säännöt ovat olleet olemassa jo pitkään. Kuten mikä tahansa rajoittava toimenpide, ne aiheuttavat tiettyjä haittoja järjestelmän käyttäjille, ja jos jokin asia on käyttäjälle epämukavaa, hän joko lopettaa sen käytön tai yrittää kiertää esteet. Siksi tämäntyyppiset politiikat, joita ei tueta täytäntöönpanon valvontaan liittyvillä teknisillä keinoilla, menettävät asteittain voimansa. Postin suodattamiseen keskittyvät ohjelmistojärjestelmät tulisi sijoittaa juuri näiden sääntöjen täytäntöönpanon ja toimeenpanon valvonnan työkaluksi. Sähköpostipolitiikka on siis työntekijöille välitettyjä kirjallisia ohjeita ja muita asiakirjoja, jotka säätelevät heidän sähköpostijärjestelmän käyttöön liittyviä toimia ja prosesseja. Näillä asiakirjoilla ja ohjeilla on oikeudellinen asema, ja ne annetaan pääsääntöisesti organisaation työntekijöiden tarkastettavaksi. Sähköpostipolitiikka on olennainen osa yrityksen tietoturvapolitiikkaa ja on siitä erottamaton. Käytännön on täytettävä seuraavat kriteerit: - sen tulee olla ytimekäs ja ymmärrettävä kaikille yrityksen työntekijöille. - Perustuu tarpeeseen suojata tietoja yrityksen taloudellisen toiminnan prosessissa; - Ole johdonmukainen yrityksen muiden organisaatiopolitiikkojen kanssa (sääntelyyn liittyvät rahoitus-, talous-, laki- ja muut yrityksen toiminnan osa-alueet); - Ovat lainvoimaisia, ts. politiikka asiakirjana on hyväksyttävä ja allekirjoitettava kaikkien yrityksen johtavien virkamiesten toimesta, ja sen täytäntöönpano on harkittava yksityiskohtaisesti; - Älä ole ristiriidassa liittovaltion ja paikallisten lakien kanssa; - Päättää toimenpiteistä työntekijöitä vastaan, jotka rikkovat tämän käytännön määräyksiä; - Säilytä tasapaino tietoturva-asteen ja yrityksen tuottavuuden välillä; - Määritä yksityiskohtaisesti toimenpiteet, joilla varmistetaan sähköpostin käyttöpolitiikka yrityksessä. Sähköpostipolitiikkaa tarkastellaan yleensä kahdesta näkökulmasta - virallisesti virallisena oikeudellisena asiakirjana ja materiaalina, joka kuvaa käytännön toteutustekniikkaa. Käytännön tulee asiakirjana sisältää: - Ilmoitus siitä, että sähköposti on yrityksen omaisuutta ja sitä saa käyttää vain liiketoimintaan. 272 - Ilmoitus siitä, että yrityksen sähköpostijärjestelmän käyttö ei saisi olla ristiriidassa Venäjän federaation lainsäädännön ja turvallisuuspolitiikan määräysten kanssa. - Ohjeet ja suositukset sähköpostin käyttöön ja säilyttämiseen. - Varoitus yrityksen työntekijöiden mahdollisesta vastuusta väärinkäytöksistä käytettäessä sähköpostia henkilökohtaisiin tarkoituksiin sekä sähköpostin mahdollisesta käytöstä oikeudellisissa ja virallisissa menettelyissä. - Kirjallinen vahvistus siitä, että yrityksen työntekijät tuntevat sähköpostikäytännön ja hyväksyvät sen ehdot. Teknisestä näkökulmasta käytäntö asettaa säännöt sähköpostin käytölle, eli se määrittelee seuraavat asiat: Mitkä saapuvat, lähtevät, valvotut tai sisäiset sähköpostiviestit ovat sallittuja tai kiellettyjä. Kuka Ihmisten luokat, joilla on lupa tai kielletty lähettämästä lähteviä tai saapuvia sähköpostiviestejä. Miten sähköpostijärjestelmä reagoi. Mitä tulee tehdä tietyille viesteille, jotka sähköpostijärjestelmä täyttää tai eivät täytä sähköpostin käytön säännöissä määritellyt kriteerit. 18.4.4 Sähköpostin sisällönhallintajärjestelmät Sähköpostikäytännön käyttöönotto edellyttää, että yrityksen johto ymmärtää, että pelkkä kirjallinen käytäntö ei takaa noudattamista. Yrityksessä on luotava asianmukaiset olosuhteet tämän politiikan toteuttamiseksi. Tässä tapauksessa tärkein edellytys on, että yritysverkossa on ohjelmisto- ja laitteistotyökaluja, joilla valvotaan politiikan määräysten ja vaatimusten noudattamista. Näitä työkaluja ovat sähköpostin sisällönvalvontajärjestelmät. Sähköpostin sisällön seurantajärjestelmät ovat ohjelmistoja, jotka voivat analysoida sähköpostin sisältöä eri osiin ja rakenteisiin sähköpostikäytäntöjen toteuttamiseksi. Näiden tuotteiden ominaisuuksia ovat: 1. Erityisesti kehitetyn sähköpostin käyttöä koskevan käytännön käyttö sisällön analysoinnissa. 273 2. Kyky suorittaa sähköpostien "rekursiivinen hajottaminen". 3. Kyky tunnistaa todellisia tiedostomuotoja niiden peittämismenetelmistä riippumatta (tiedostopäätteiden vääristyminen, tiedostojen arkistointi jne.). 4. Sähköpostiviestin useiden parametrien analyysi. 5. Sähköpostiarkiston ylläpito 6. Sähköpostiviestin ja liitetiedostojen sisällön analysointi kiellettyjen sanojen ja ilmaisujen varalta. Sähköpostiliikenteen seurantajärjestelmän päätehtävän lisäksi sähköpostin seurantajärjestelmät pystyvät suorittamaan muitakin toimintoja. Käytäntö on osoittanut, että tällaisia ​​järjestelmiä käytetään tällä hetkellä: 1. Postivirran hallintatyökaluina. 2. Kulunvalvonta. 3. Sähköpostin hallinta- ja tallennustyökalut. 4. Sisällöntarkastustyökalut (jonka tärkeimmän toiminnon suorittaa sähköpostiarkisto). 5. Asiakirjanhallintajärjestelmän perusteet. 18.4.5 Vaatimukset sähköpostin sisällönvalvontajärjestelmille Kaikkien sähköpostin sisällönvalvontajärjestelmien luokkien ominaisuudet ovat melko laajat ja vaihtelevat huomattavasti valmistajan mukaan. Kaikille järjestelmille asetetaan kuitenkin yleisimmät vaatimukset, joiden avulla ne voivat ratkaista postiliikenteen valvontaan liittyviä ongelmia. Tärkeimmät vaatimukset tällaisille järjestelmille ovat täydellisyys ja riittävyys 1. Täydellisyys on ohjausjärjestelmien kykyä tarjota sähköpostiviestien perusteellisin varmennus. Tämä viittaa siihen, että suodatus tulisi tehdä kaikkien kirjeen osien välillä. Tässä tapauksessa mitään sähköisen viestin rakenteeseen sisältyvistä objekteista ei saa "jättää ilman valvontaa". Sähköpostien tarkistusehdoissa tulee ottaa huomioon kaikki sähköpostijärjestelmää käyttävässä organisaatiossa mahdollisesti esiintyvät ongelmat, riskit ja uhat. 2. Riittävyys tarkoittaa sisällönhallintajärjestelmien kykyä ilmentää mahdollisimman täydellisesti suullisesti muotoiltua sähköpostin käyttöä koskevaa politiikkaa, saada kaikki tarvittavat keinot ihmisten kirjoittamien sääntöjen toimeenpanemiseksi järjestelmälle ymmärrettäviin suodatusehtoihin. 274 Muita yleisimpiä vaatimuksia ovat: 3. Sähköpostin tekstianalyysi - avainsanojen ja lausekkeiden analysointi sisäänrakennettujen sanakirjojen avulla. Tämän ominaisuuden avulla voit havaita ja estää nopeasti luottamuksellisten tietojen vuotamisen, määrittää kielletyn sisällön olemassaolon, pysäyttää roskapostin lähettämisen sekä muun tietoturvakäytännön kieltämän materiaalin lähettämisen. Samalla kvalitatiiviseen tekstianalyysiin tulee sisältyä sanojen morfologinen analyysi, eli järjestelmän tulee pystyä generoimaan ja määrittämään kaikenlaisia ​​sanan kieliopillisia konstruktioita. Tämä toiminto tulee erittäin tärkeäksi venäjän kielen erityispiirteiden vuoksi, jossa sanoilla on monimutkaiset kieliopilliset rakenteet. 4. Sähköpostiviestien lähettäjien ja vastaanottajien hallinta. Tämän ominaisuuden avulla voit suodattaa postiliikennettä ja ottaa siten käyttöön joitain palomuuritoimintoja sähköpostijärjestelmässä. 5. Jäsentää sähköpostit osiin (MIME-otsikot, sähköpostin runko, liitetiedostot jne.), "vaarallisten" liitteiden poistaminen ja sitten sähköpostikomponenttien kokoaminen yhteen siten, että sähköpostiviestiin voidaan lisätä tietoturvajärjestelmänvalvojille tarvittavia elementtejä (esim. esimerkiksi varoitukset virusten esiintymisestä tai "kielletty" teksti kirjeen sisällössä). 6. Suurten viestien estäminen tai viivästäminen siihen hetkeen, jolloin viestintäkanava on vähiten kuormitettu (esim. työajan ulkopuolella). Tällaisten viestien leviäminen yrityksen postiverkossa voi johtaa verkon ruuhkautumiseen, minkä estäminen tai toimituksen viivästyminen estää. 7. Grafiikka-, video- ja äänitiedostojen tunnistus. Tyypillisesti nämä tiedostot ovat suuria, ja niiden leviäminen voi johtaa verkkoresurssien suorituskyvyn menetykseen. Siksi kyky tunnistaa ja viivyttää tämäntyyppiset tiedostot auttaa estämään liiketoiminnan tehokkuuden heikkenemisen. 8. Pakattujen/arkistoitujen tiedostojen käsittely. Tämä mahdollistaa pakattujen tiedostojen tarkistamisen kiellettyjen materiaalien sisällön varalta. 9. Suoritettavien tiedostojen tunnistus. Yleensä tällaiset tiedostot ovat kooltaan suuria ja liittyvät harvoin yrityksen kaupalliseen toimintaan. Lisäksi suoritettavat tiedostot ovat sähköpostin välityksellä välittyneiden virusten pääasiallinen tartuntalähde. Siksi kyky tunnistaa ja viivyttää tämäntyyppiset tiedostot voi estää yrityksen tehokkuuden heikkenemisen ja välttää järjestelmän tartunnan. 10. Roskapostin valvonta ja esto. Roskapostin leviäminen johtaa verkon ylikuormitukseen ja työntekijöiden ajanhukkaan. Roskapostin hallinta- ja estotoiminnon avulla voit säästää verkkoresursseja ja estää yrityksen suorituskyvyn heikkenemisen. Tärkeimmät suojausmenetelmät roskapostia vastaan ​​ovat: roskapostin jakelulähteiden verkkotunnusten ja IP-osoitteiden tarkistaminen listojen avulla, määritellyn lähettäjän osoitteen pyytäminen (estäminen, jos vastausta ei tule), roskapostiviestin tekstianalyysi ominaisten sanojen esiintymisen varalta ja lausekkeet sähköpostin otsikoissa (osoitteesta /aihe), tarkistamalla otsikoiden yhteensopivuus RFC-822-määrityksen kanssa jne. 11. Kyky määrittää sähköpostiviestien liitteiden määrä. Suuren liitemäärän sisältävän sähköpostin edelleenlähettäminen voi johtaa verkon ylikuormitukseen, joten liitteiden lukumäärää koskevien tietoturvapolitiikan rajoitusten noudattamisen valvonta varmistaa, että yrityksen verkkoresurssit säilyvät. 12. Kirjanmerkkiohjelmien (evästeiden), haitallisen mobiilikoodin (Java, ActiveX, JavaScript, VBScript jne.) sekä automaattista postitusta suorittavien tiedostojen (ns. "Automatic Mail-to") hallinta ja estäminen. Tämäntyyppiset investoinnit ovat erittäin vaarallisia ja johtavat tietovuotoon yritysverkosta. 13. Yrityksen sähköpostijärjestelmän resurssien luokittelu ("hallinto", "HR-osasto", "rahoitus" jne.) ja yrityksen työntekijöiden pääsyn eriyttäminen verkkoresurssien eri luokkiin (mukaan lukien vuorokaudenajan mukaan). 14. Erilaisten vastausvaihtoehtojen toteuttaminen, mukaan lukien: viestin poistaminen tai tilapäinen estäminen; viivyttää viestiä ja asettaa se karanteeniin myöhempää analysointia varten; "parantaa" viruksen saastuttaman tiedoston; ilmoitus suojauksen ylläpitäjälle tai muulle vastaanottajalle tietoturvapolitiikan rikkomisesta jne. 15. Mahdollisuus tietojen muokkaukseen, joka sisältää esimerkiksi kelpaamattomien liitteiden poistamisen ja korvaamisen tietyn sisällön teksteillä. Tämän ominaisuuden avulla järjestelmänvalvoja voi poistaa sähköpostiviesteistä liitetiedostoja, joiden tyyppi on kielletty yrityksen tietoturvakäytännössä. Tällaisia ​​tiedostoja voivat olla suoritettavat, video- ja äänitiedostot, jotka eivät liity yrityksen toimintaan. Tämän ansiosta voit viime kädessä välttää verkon tartuttamisen viruksilla ja varmistaa, että työntekijäsi käyttävät sähköpostipalvelua tuottavasti. 16. Täysin toimivan sähköpostiarkiston ylläpito, joka voi tarjota online-tallennustilaa suurelle sähköpostimäärälle korkealla tietojen saatavuudella. Arkistoon tallennettujen tietojen perusteella on mahdollista tehdä lisäanalyysejä yrityksen postivirrasta, säätää järjestelmän toimintaa, analysoida yrityksen postipalvelun väärinkäyttöön liittyviä tapauksia jne. 276 Kuvassa. Kuva 18.15 esittää tyypillisen sähköpostin sisällönhallintajärjestelmän kulun. Viestinkäsittelykaavio sisältää pääsääntöisesti seuraavat vaiheet: sähköpostin rekursiivinen hajottaminen; sähköpostin sisältöanalyysi; sähköpostin "luokittelu" (määrittely tiettyyn luokkaan); toiminto kirjeeseen luokan määrittämisen tulosten perusteella. Riisi. 18.15 - Sähköpostin sisällönhallintajärjestelmän viestien käsittelykaavio 18.4.6 Sähköpostin sisällönhallintajärjestelmien toimintaperiaatteet Jokaisen järjestelmään tulevan sähköpostin on tarkistettava määriteltyjen ehtojen mukainen. Tässä tapauksessa vähintään seuraavat kirjainten valinnan ehdot on täytettävä: - ehdot postin otsikoille; 277 - kirjeen rakenteen ehdot (liitteiden läsnäolo, lukumäärä ja rakenne); - liitetyyppien ehdot (MS Office, suoritettava tiedosto, arkistot jne.); - kirjeiden ja liitteiden sisällön (tekstin) ehdot; - kirjeenkäsittelyn tuloksen ehdot. Lisäksi järjestelmän pitäisi mahdollistaa sähköpostiviestien analysointi kaikkien niiden osien mukaan: kirjekuoriattribuutit, viestien otsikot, MIME-otsikot, viestin runko, liitetiedostot. 18.4.6.1 Kirjeiden luokittelu ja roskapostin suodatus Tarkastellaanpa kirjeiden luokittelua. On tärkeää huomata, että joustavuus sähköpostiviestien suodatuksessa on erityisen välttämätöntä roskapostin kaltaisten ongelmien yhteydessä. Yksi tärkeimmistä kriteereistä sähköpostin sisällönhallintajärjestelmän valinnassa nykyään on juuri sen kyky käsitellä tätä ongelmaa mahdollisimman tehokkaasti. On neljä päämenetelmää sen määrittämiseen, mikä sähköposti on roskapostia ja mikä ei. 1. Roskapostin tunnistaminen tiettyjen merkkien esiintymisestä kirjeessä, kuten avainsanoja tai lauseita, kirjeen aiheen tyypillinen kirjoitus (esimerkiksi kaikki isot kirjaimet ja suuri määrä huutomerkkejä) sekä erityisinä osoitetietoina. 2. Lähettäjän osoitteen ja jäsenyyden määrittäminen Open Relay Black List (ORBL) -postipalvelimien ns. "mustilla listoilla". Nämä listat sisältävät ne palvelimet, jotka havaitaan massapostituksissa ja ajatuksena on olla vastaanottamatta tai lähettämättä näiltä palvelimilta tulevaa postia ollenkaan. 3. Suodatustekniikoiden yhteinen käyttö tiettyjen kriteerien perusteella ja "mustien listojen" tarkistaminen. Tuottavuuden kannalta se ei juurikaan eroa kahdesta ensimmäisestä. Hyvin viritetyn suodattimen testaus molemmilla menetelmillä osoittaa, että 100 %:sta roskapostiviesteistä vain 79,7 % havaitaan. Samalla havaittiin merkittävä prosenttiosuus vääriä positiivisia, mikä tarkoittaa, että tavalliset kirjeet luokiteltiin roskapostiksi (1,2 % viivästyneistä kirjeistä), mikä uhkaa yritystä menettää tärkeitä tietoja. Roskapostin ja tavallisten kirjeiden erottelun huono laatu johtuu muun muassa standardisuodattimien "yksipuolisuudesta". Kirjeiden hylkäämisessä huomioidaan "huonot" merkit eikä hyödylliselle kirjeenvaihdolle ominaisia ​​"hyviä" merkkejä. 4. suodattimien automaattinen säätö yksittäisen kirjeenvaihdon ominaisuuksien mukaan ja käsittelyn aikana, ottaen huomioon sekä "huonojen" että "hyvien" suodattimien ominaisuudet. Tämä on neljäs amerikkalaisen ohjelmoijan ja yrittäjän Paul Grahamin ehdottama tekniikka. Tekniikka perustuu todennäköisyysteoriaan ja käyttää tilastollista Bayes-algoritmia roskapostin suodattamiseen. Tämän roskapostin torjuntamenetelmän arvioidaan olevan erittäin tehokas. Näin ollen testin aikana suodattimen läpi kulki 8 000 kirjettä, joista puolet oli roskapostia. Tämän seurauksena järjestelmä ei pystynyt tunnistamaan vain 0,5 % roskapostiviesteistä, ja väärien suodatinvastausten määrä osoittautui nollaksi. Vaatimus kirjaimen täydellisestä jäsentämisestä luokitteluongelmaa ratkaistaessa tulisi täydentää vakauden vaatimuksella. - Ensinnäkin järjestelmän on kestettävä virheellisen rakenteen omaavien kirjeiden käsittelyä. Kirjeen rakenne noudattaa tiettyjä sääntöjä. Kirjeen jäsentäminen osiin perustuu näiden sääntöjen soveltamiseen tiettyyn kirjaimeen. Saattaa olla tapauksia, joissa sähköpostin kirjoittajan sähköpostiohjelma luo kirjeen, joka rikkoo näitä sääntöjä. Tässä tapauksessa kirjettä ei voida jäsentää oikein - Toiseksi järjestelmän on määritettävä luotettavasti liitetiedostojen tyypit. "Luotettavuudella" tarkoitamme määritelmää, joka ei perustu tiedoston nimeen, vaan myös siihen tietoon, jonka sähköpostiohjelma on syöttänyt kirjeeseen liitettäessä tiedostoa (mime-tyyppinen). Tällaiset tiedot voivat olla epäluotettavia joko valvontajärjestelmän tahallisten pettämisyritysten tai lähettäjän sähköpostiohjelman virheellisten asetusten seurauksena. Ei ole mitään järkeä kieltää JPEG-tiedostojen siirtoa, jos kuva.jpg-tiedosto jää huomaamatta sen jälkeen, kun se on nimetty uudelleen sivu.txt-tiedostoksi. - Kolmanneksi järjestelmän tulee varmistaa suoritettujen tarkastusten täydellisyys, eli sähköpostin analysointikriteerien suuri määrä ja monimuotoisuus. Tässä tapauksessa järjestelmän on suodatettava viestimääritteiden, viestien ja liitetiedostojen määrän, liitteiden lukumäärän ja tyypin, sisäkkäissyvyyden mukaan sekä pystyttävä analysoimaan liitetiedostojen sisältö riippumatta siitä, ovatko nämä tiedostot pakataan tai arkistoidaan. Monien tuotteiden merkittävä etu on kyky luoda oma skripti sähköpostiviestien käsittelyä varten. Kun analysoit tekstiä, sinun on kyettävä työskentelemään normalisoitujen sanamuotojen kanssa jne. 279 18.4.6.2 Käyttöpolitiikan toteuttaminen Tarkastellaan ei yksittäisiä sääntöjä, vaan koko säännöstöä, josta käytäntö muodostuu. Mikä tahansa realistinen politiikka koostuu joukosta sääntöjä, jotka luonnollisesti yhdistetään ryhmiin. Ilmeisesti lähtevän postin säännöt poikkeavat saapuvan postin säännöistä, yrityksen johtamisen säännöt poikkeavat tavallisten työntekijöiden säännöistä jne. Lisäksi, koska sääntöjä sovelletaan kirjaimeen tietyssä järjestyksessä, olisi toivottavaa, että tämä järjestys olisi looginen ja voisi riippua kirjeen analyysin tuloksista. Kaikki tämä yhdessä johtaa "läpinäkyvyyden" vaatimukseen: järjestelmään määriteltyjen sääntöjen tulee olla "luettavia" luonnollisella kielellä kirjoitettuina ihmisille ymmärrettävinä sääntöinä. Kaikki edellä sanottu liittyi kirjeen analysointiin. Itse analyysi ei kuitenkaan tarjoa mitään. Tulosten perusteella kirje tulisi luokitella johonkin luokkaan (turvallinen, tärkeä, luvaton jne.). Jos tällainen luokittelu suoritetaan, voimme puhua kaikista analysoituun kirjeeseen liittyvistä toimista, esimerkiksi toimittaa se vastaanottajalle, estää se jne. Toisin sanoen tarvitset kyvyn asettaa järjestelmälle säännöt, joiden mukaan se käsittelee kirjaimia. Riisi. 18.16 - Suodatus kaikkien 280-kirjaimen komponenttien mukaan

Tietoturvatyökalu, sähköpostin sisällönhallintajärjestelmä, ei sinänsä ratkaise turvallisuusongelmia. Tämä on vain "kone", joka auttaa henkilöä ratkaisemaan tietyn ongelman. Siksi turvallisuuden varmistamisen tehtävä on annettava tällaiselle "koneelle". Se tarkoittaa sitä on kehitettävä erityiset säännöt, joka käännetään myöhemmin konekielelle. Tätä sääntöjoukkoa kutsutaan "sähköpostikäytännöksi".

Monissa organisaatioissa tällaiset säännöt ovat olleet olemassa jo pitkään. Kuten mikä tahansa rajoittava toimenpide, ne aiheuttavat tiettyjä haittoja järjestelmän käyttäjille, ja jos jokin asia on käyttäjälle epämukavaa, hän joko lopettaa sen käytön tai yrittää kiertää esteet. Siksi tämäntyyppiset politiikat, joita ei tueta niiden täytäntöönpanon valvontaan liittyvillä teknisillä keinoilla, menettävät vähitellen voimansa - verkkosivusto. Postin suodatukseen keskittyvät ohjelmistojärjestelmät tulisi sijoittaa juuri näiden sääntöjen täytäntöönpanon ja täytäntöönpanon valvonnan työkaluksi.

Sähköpostipolitiikka on siis työntekijöille välitettyjä kirjallisia ohjeita ja muita asiakirjoja, jotka säätelevät heidän sähköpostijärjestelmän käyttöön liittyviä toimia ja prosesseja. Näillä asiakirjoilla ja ohjeilla on oikeudellinen asema, ja ne annetaan pääsääntöisesti organisaation työntekijöiden tarkastettavaksi.

Sähköpostipolitiikka on olennainen osa yrityksen yleistä tietoturvapolitiikkaa ja on siitä erottamaton. Politiikan tulee täyttää seuraavat kriteerit:

- esitettävä ytimekkäästi ja ymmärrettävästi kaikille yrityksen työntekijöille, koska kirjoittamisen yksinkertaisuus ei saisi johtaa asiakirjan oikeudellisen aseman menettämiseen;
- lähteä tarpeesta suojata tietoja yrityksen taloudellisen toiminnan prosessissa;
- oltava johdonmukainen yhtiön muiden organisaatiopolitiikkojen kanssa (sääntelyyn rahoitukseen, talouteen, lakiin ja muihin yrityksen toimintoihin - verkkosivusto);
- on lainvoimainen, ts. politiikka asiakirjana on hyväksyttävä ja allekirjoitettava kaikkien yrityksen johtavien virkamiesten toimesta, ja sen täytäntöönpano on harkittava yksityiskohtaisesti;
- eivät ole ristiriidassa liittovaltion ja paikallisten lakien kanssa;
- määrittää vaikutusta koskevia toimenpiteitä työntekijöitä kohtaan, jotka rikkovat tämän käytännön määräyksiä;
- ylläpitää tasapainoa tietoturvan tason ja yrityksen tuottavuuden välillä;
- määritellä yksityiskohtaisesti toimenpiteet sähköpostin käyttöpolitiikan varmistamiseksi yrityksessä.

Sähköpostipolitiikkaa tarkastellaan yleensä kahdesta näkökulmasta - virallisesti virallisena oikeudellisena asiakirjana ja materiaalina, joka kuvaa käytännön toteutustekniikkaa. Asiakirjan tulee sisältää:

1. Säännös, että sähköposti on yrityksen omaisuutta ja sitä voidaan käyttää vain liiketoimintatarkoituksiin.
2. Ilmoitus siitä, että yrityksen sähköpostijärjestelmän käyttö ei saa olla ristiriidassa Venäjän federaation lainsäädännön ja turvallisuuspolitiikan määräysten kanssa.
3. Ohjeet ja suositukset sähköpostin käyttöön ja säilyttämiseen.
4. Varoitus yrityksen työntekijöiden mahdollisesta vastuusta väärinkäytöksistä käytettäessä sähköpostia henkilökohtaisiin tarkoituksiin sekä sähköpostin mahdollisesta käytöstä oikeudellisissa ja virallisissa menettelyissä.
5.Kirjallinen vahvistus siitä, että yrityksen työntekijät tuntevat sähköpostikäytännön ja hyväksyvät sen ehdot.

Yrityksen tietoturvakäytännöt Internetissä työskennellessä Sergei Aleksandrovitš Petrenko

Kirjasta Computerra Magazine N730 kirjoittaja Computerra-lehti

VANNAN PUHEENJOHTAJA: Vaadivatko poliitikot politiikan jatkamista? Kirjoittaja: Vannakh Mikhail Säästä puhuminen on ollut erittäin suosittua ihmisyhteiskunnan alusta lähtien. On niin mukavaa saada kulhollinen kärpäsherukkatinktuuria, peyotea, hirssiolutta tai kuppi kiinalaista teetä

Kirjasta Windows Vista kirjailija Vavilov Sergey

Tietoturvakeskus ja tietoturvakomponentit Tietoturvan varmistamisessa ovat mukana erikoistuneet palvelut ja ohjelmat. Niistä tärkeimmät ovat Turvakeskuksen hallinnassa. Tämä Windows-komponentti valvoo vakautta

Kirjasta Windows Script Host for Windows 2000/XP kirjoittaja Popov Andrei Vladimirovitš

WSH-komentosarjojen suojauskäytännöt WSH-komentosarjojen suojauskäytännön organisointiprosessiin kuuluu tiettyjen rajoitusten asettaminen näiden komentosarjojen käynnistämiselle ja suorittamiselle. Tässä tapauksessa voidaan käyttää kahta lähestymistapaa

Kirjasta System Programming in Windows Environment Kirjailija: Hart Johnson M

Suojauksen yleiskuvaus: Suojauskuvaus Suojauskuvaajan tarkistaminen antaa hyvän yleiskuvan Windowsin suojauksen tärkeimmistä osista. Tässä osiossa puhumme useista elementeistä

Kirjasta Public Key Infrastructure kirjoittaja Poljanskaja Olga Jurievna

Luottamuskäytännöt Yksi yksinkertaisimmista, mutta ei tehokkaimmista tavoista luoda luottamusta sähköisiin asioihin on käyttää läpinäkyviä luottamuskäytäntöjä. Luottamuspolitiikan on varmistettava: * luottamuksellisuus * oikea käyttö

Kirjasta Yrityksen suojauskäytännöt Internetissä työskennellessä kirjoittaja Petrenko Sergei Aleksandrovitš

Lyhyt kuvaus PKI-käytännöstä Todellinen vaihtoehto pitkille asiakirjoille, joissa PKI-politiikkaa kuvataan yksityiskohtaisesti, voi olla käytännön lyhyt kuvaus - PDS (PKI Disclosure Statement) -dokumentti. PDS-dokumentti syntyi tuolloin IETF Internet Engineering Support Groupin projektina

Kirjasta Undocumented and Little-Known Features of Windows XP kirjoittaja Klimenko Roman Aleksandrovitš

Luento 14: PKI-politiikan kuvaus Keskustelee PKI-politiikkasarjan rakenteesta, antaa lyhyen kuvauksen yleisistä politiikkasäännöksistä, kuvailee yksityiskohtaisesti kaikki PKI-politiikkasarjan erityisosat, pohtii politiikan kehittämisen vaikeuksia ja

Kirjasta Information Systems Security. Opetusohjelma kirjoittaja Pogonysheva Dina Alekseevna

PKI-käytäntösarja Yleistä Joukko PKI-käytäntöjä ja/tai -käytäntöjä, jotka kattavat joukon vakioaiheita varmennepolitiikan tai -säännön muotoilua varten. Riisi. 14.1 on ohjeellinen luettelo

Kirjailijan kirjasta

Sergei Aleksandrovitš Petrenko, Vladimir Anatoljevitš Kurbatov Tiedotuspolitiikka

Kirjailijan kirjasta

1.4. Miten turvallisuuspolitiikkaa kehitetään? Ennen kuin alamme etsiä vastausta tähän kysymykseen, puhutaanpa hieman luottamusongelmasta 1.4.1. Keneen ja mihin luottaa. Työntekijöiden luottamustason oikea valinta määrää politiikan toteuttamisen onnistumisen tai epäonnistumisen

Kirjailijan kirjasta

Liite 1 ARVIOINTI USA:N TIETOTURVALLISUUDEN TILASTA Vuoden 2005 alussa Computer Security Institute (CSI) ja San Francisco Federal Bureau of Investigations Computer Intrusion Team

Kirjailijan kirjasta

Liite 2 2003 KANSAINVÄLINEN TIETOTURVALLISUUSTUTKIMUS. KATSAUS IVY-MAIDEN TULOSISTA Ernst & Young julkaisi vuoden 2004 alussa IVY-maiden tietoturvan tilaa koskevan tutkimuksensa tulokset (www.eu.com/russia). Tässä tutkimuksessa

Kirjailijan kirjasta

Liite 3 YRITYKSEN TIETOTURVALLISUUDEN OPAS (Site Security Handbook, RFC 1244) Toimitetaan lyhennettynä fysiikan ja matemaattisten tieteiden tohtori, professori V.A Galatenkon (alkuperäisen asiakirjan käännöksen kirjoittaja) luvalla. Tämä käsikirja on

Kirjailijan kirjasta

Liite 6 ESIMERKKEJÄ TIETOTURVALLISUUDEN MENETELMÄMATERIAALISTA Ohjeet verkkoturvallisuuden ylläpitäjälle Yrityksen X verkkoturvavastaava on nimetty koulutetuimpien verkon omistajien joukosta.

Kirjailijan kirjasta

Paikalliset käytännöt Paikalliset käytännöt -osio sisältää kolme käytäntöä: Tarkastuskäytäntö, Käyttäjän oikeuksien antaminen ja suojausasetukset.? Tarkastuskäytäntö - voit määrittää tapahtumat, joiden alkuperä tallennetaan suojauslokiin

Kirjailijan kirjasta

5.2. Talousjärjestelmien tietoturvan paikka maan kansallisessa turvallisuudessa Tietoturvasta on tulossa nykymaailmassa elintärkeä edellytys ihmisen, yhteiskunnan ja valtion etujen turvaamiselle ja tärkein, ydin,

Säännöt sähköpostin käytöstä (perussarja)

1. Yleiset määräykset

1.1. Tässä asetuksessa vahvistetaan menettely sähköpostin käyttämiseksi IP:ssä "OMA ORGANISAATIOSI"(jäljempänä järjestö).

1.2. Tämä määräys koskee organisaation työntekijöitä, urakoitsijoita ja kolmansia osapuolia.

2.Perustermit, lyhenteet ja määritelmät

  1. IS ylläpitäjä- tekninen asiantuntija, tarjoaa ohjelmiston käyttöönoton, tuen ja myöhemmän käytöstä poistamisen.
  2. AWS- automatisoitu käyttäjätyöasema (henkilökohtainen tietokone sovellusohjelmistoineen) tietyn tuotantotehtävän suorittamiseksi.
  3. ON- tietoturva - joukko organisatorisia ja teknisiä toimenpiteitä, jotka varmistavat tietojen luottamuksellisuuden, eheyden ja saatavuuden.
  4. IP- organisaation tietojärjestelmä - järjestelmä, joka tarjoaa organisaation tietojen tallentamisen, käsittelyn, muuntamisen ja siirron tietokoneella ja muilla laitteilla.
  5. SE- tietotekniikka - joukko menetelmiä ja prosesseja, jotka varmistavat tietojen tallennuksen, käsittelyn, muuntamisen ja siirron organisaatiolle tietokoneella ja muilla laitteilla.
  6. PC-passi- asiakirja, joka sisältää täydellisen luettelon automatisoidun työpaikan laitteista ja ohjelmistoista.
  7. PC- Henkilökohtainen tietokone.
  8. BY- tietokoneohjelmisto.
  9. Haittaohjelma- Ohjelmistot tai ohjelmistomuutokset, jotka johtavat tietojen luottamuksellisuuden, eheyden ja saatavuuden rikkomiseen.
  10. Kaupallinen ohjelmisto- Ohjelmistot kolmansien osapuolien valmistajilta (tekijänoikeuksien haltijoilta). Tarkoitettu käytettäväksi korvattavalla (maksullisella) perusteella.
  11. Käyttäjä- Organisaation työntekijä, joka käyttää sähköpostia työtehtäviensä suorittamiseen.
  12. Sähköposti asiakas- IP-käyttäjän työasemaan sisältyvä ohjelmisto, joka on suunniteltu sähköpostiviestien vastaanottamiseen, kirjoittamiseen, lähettämiseen ja tallentamiseen.
  13. Postipalvelin- sähköpostipalvelin - ohjelmisto, joka käsittelee ja välittää sähköpostiviestejä Organisaation työasemien välillä sekä julkisten verkkojen välillä - Internet.
  14. Organisaatio - "OMA ORGANISAATIOSI".
  15. Lähettäjä- Organisaation työntekijä, joka välittää sähköiset viestit vastaanottajalle sähköpostitse.
  16. Vastaanottaja- Organisaation työntekijä, jolle lähettäjän sähköpostitse lähettämä sähköinen viesti on osoitettu.
  17. Rekisteri- asiakirja "Valtuutetun ohjelmiston rekisteri". Sisältää luettelon kaupallisista ohjelmistoista, joiden käyttö on sallittu organisaatiossa.
  18. Kolmas puoli- suhteessa riippumattomaksi katsottava henkilö tai organisaatio "OMA ORGANISAATIOSI".
  19. Sähköinen asiakirja- asiakirja, jossa tiedot esitetään sähköisessä digitaalisessa muodossa.
  20. Sähköposti- Palvelu sähköisten viestien vaihtoon Organisaation IS:ssä (sisäinen sähköposti) ja julkisissa Internet-verkoissa (ulkoinen sähköposti).
  21. Sähköinen postilaatikko- henkilökohtainen tila sähköpostipalvelimella, johon sähköiset viestit tallennetaan.
  22. Sähköpostiviesti- lähettäjän sähköpostiohjelmalla luoma viesti, joka on tarkoitettu lähetettäväksi vastaanottajalle sähköpostitse.

3. Sähköpostin käyttö

3.1. Sähköpostia käytetään virallisten tietojen vaihtoon Organisaation IS:ssä (sisäinen sähköposti) ja julkisissa verkoissa (ulkoinen sähköposti) sähköisten viestien ja sähköisessä muodossa olevien asiakirjojen muodossa.

3.2. Sähköpostin toiminnan varmistamiseksi on sallittua käyttää kaupallisia ohjelmistoja, jotka sisältyvät hyväksyttyjen ohjelmistojen rekisteriin ja jotka on määritelty PC Passportissa.

3.3. Sähköpostipalvelun toimivuudesta huolehtivat IT-osaston asiantuntijat.

3.4. Organisaation työntekijöiden pääsy sisäiseen sähköpostiin tarjotaan, kun työasema on kytketty Organisaation IS:ään. Organisaation työntekijöiden pääsy ulkoiseen sähköpostiin tarjotaan, kun työasema on yhteydessä Internetiin.

3.5. Kun käytät sähköpostia sinun tulee:

  • 3.5.1. Noudata näiden sääntöjen vaatimuksia.
  • 3.5.2. Käytä sähköpostia vain työtehtäviesi suorittamiseen.
  • 3.5.3. Ennen kuin lähetät viestin, tarkista, että vastaanottajan sähköpostiosoite on annettu oikein.
  • 3.5.4. Ilmoita IP-järjestelmänvalvojille kaikista näiden sääntöjen vaatimusten rikkomisesta.

3.6. Sähköpostia käytettäessä on kiellettyä:

  • 3.6.1. Käytä sähköpostia henkilökohtaisiin tarkoituksiin.
  • 3.6.3. Lähetä sähköpostiviestejä, jotka sisältävät:
    • 3.6.3.1. Luottamukselliset tiedot sekä liikesalaisuuden muodostavat tiedot, paitsi jos se kuuluu lähettäjän virkatehtäviin ja siirtotapa on turvallinen, sovitaan etukäteen IP-vastaavien kanssa.
    • 3.6.3.2. Tieto, kokonaan tai osittain, tekijänoikeudella tai muilla oikeuksilla suojattu ilman omistajan lupaa.
    • 3.6.3.3. Tiedot, tiedostot tai ohjelmistot, jotka voivat häiritä tai rajoittaa minkä tahansa ohjelmiston tai laitteiston toimivuutta, sekä tarjota luvattoman pääsyn, sekä linkit yllä oleviin tietoihin.
    • 3.6.3.4. Uhkaavaa, herjaavaa, säädytöntä tietoa sekä muiden kunniaa ja ihmisarvoa loukkaavaa tietoa, etnistä vihaa yllyttävät, väkivaltaan yllyttävät, laittomaan toimintaan kutsuvat materiaalit jne.
  • 3.6.4. Seuraa linkkejä ja avaa liitteitä tuntemattomilta lähettäjiltä saapuvissa sähköpostiviesteissä.
  • 3.6.5. Lähetä oma-aloitteisesti (mukaan lukien joukko) sähköisiä viestejä (jos postitus ei liity virkatehtävien hoitamiseen).
  • 3.6.6. Käytä sähköpostiosoitettasi tilataksesi säännöllisiä uutiskirjeitä Internetin materiaaleista, jotka eivät liity virkatehtävien suorittamiseen.
  • 3.6.7. Julkaise sähköpostiosoitteesi tai organisaation muiden työntekijöiden sähköpostiosoitteet julkisissa Internet-resursseissa (foorumit, konferenssit jne.).
  • 3.6.8. Tarjoa organisaation työntekijöille (paitsi IS-järjestelmänvalvojille) ja kolmansille osapuolille pääsy heidän sähköpostilaatikkoonsa.
  • 3.6.9. Salaa sähköiset viestit ilman IS-järjestelmänvalvojien ennakkohyväksyntää.
  • 3.6.10. Ohjaa sähköpostit henkilökohtaisista postilaatikoista yrityksen postilaatikoihin.

3.7. Organisaatio varaa oikeuden päästä käsiksi työntekijöiden sähköisiin viesteihin arkistointia ja keskitettyä tallennusta varten sekä näiden sääntöjen vaatimusten noudattamisen valvontaa varten.

3.8. Jos organisaation työntekijää epäillään sähköpostin väärinkäytöstä, käynnistetään sisäinen tarkastus, jonka suorittaa toimikunta, jonka kokoonpanosta päättää organisaation johtaja.

3.9. Selvitettyjen olosuhteiden perusteella laaditaan tapahtumatutkintaraportti, joka toimitetaan rakenneyksikön päällikölle järjestön paikallisten määräysten ja voimassa olevan lainsäädännön mukaisten toimenpiteiden toteuttamiseksi. Tapahtumatutkintaraportti ja tiedot toteutetuista toimenpiteistä siirretään IT-osastolle.

3.10. Kaikki sähköpostilla lähetetyt sähköiset viestit ja sähköisessä muodossa olevat asiakirjat ovat pakollisia haittaohjelmien varalta.

4. Sähköisen viestin muotoilun vaatimukset

4.1. Kun lähetät sähköpostia, sinun tulee täyttää seuraavat kentät:

  • vastaanottajan osoite;
  • sähköpostin aihe;
  • sähköpostin teksti (tarvittaessa erilaisia ​​tiedostoja voidaan liittää);
  • lähettäjän allekirjoitus.

4.2. Lähettäjän allekirjoitusmuoto:

Ystävällisin terveisin,<фамилия имя> <должность> <структурное подразделение Организации> <наименование Организации> <адрес> <номера телефонов, мессенжеры, адреса электронной почты> <сайт>

4.3. Sähköpostiohjelmassa on mahdollista luoda allekirjoitus ja lisätä se automaattisesti sähköpostiviestiin. Tarvittaessa voit luoda useita allekirjoituksia eri vastaanottajille.

4.4 Kun luot vastauksia vastaanotettuihin sähköposteihin, voit käyttää yksinkertaistettua allekirjoitusta.

5. Vastuu

5.1. Työntekijät, jotka rikkovat näiden sääntöjen vaatimuksia, ovat vastuussa voimassa olevan lainsäädännön ja organisaation paikallisten määräysten mukaisesti.

6. Muutokset ja lisäykset

6.1. Muutokset ja lisäykset näihin sääntöihin tekevät IT-osaston työntekijät osaston päällikön ohjeiden mukaisesti ja ne hyväksytään organisaation johtajan määräyksellä sovittuaan Organisaation päälliköiden kanssa.

6.2. Kaikki näiden sääntöjen muutokset ja lisäykset tulevat voimaan niiden hyväksymishetkestä alkaen.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä